Le premier semestre 2024 a été marqué par certaines des violations les plus importantes de ces dernières années. Leur dénominateur commun ? Identifiants compromis et l'absence de MFA. La violation la plus importante à ce jour est celle de Snowflake, qui a continuellement affecté certaines grandes organisations depuis le mois de mai. Dans cet article, nous nous concentrerons sur certaines des organisations les plus durement touchées et terminerons avec une autre violation, bien que tout aussi évitable.
Flocon de neige : la chaîne d'approvisionnement n'est aussi solide que son maillon le plus faible
L’une des violations les plus notables de 2024 jusqu’à présent est la faille qui a ciblé la plateforme de stockage cloud SnowflakeEn fait, la cible ici n'était pas Snowflake lui-même, mais plutôt les clients de Snowflake, notamment AT&T, Ticketmaster, Santander Bank et Neiman Marcus, entre autres.
Comme l'ont rapporté plusieurs médias d'information sur Internet, il s'agissait d'un manuel attaque de la chaîne d'approvisionnementLes attaquants ont pu accéder aux clients de Snowflake via une machine compromise, probablement par le biais d'e-mails de phishing et de pièces jointes malveillantes. On estime que plus de 500 identifiants ont été découverts de cette manière et mis en vente sur le dark web, notamment des noms d'utilisateur, des mots de passe et des URL des environnements Snowflake associés à ces identifiants.
Selon WiredDans certains cas, les attaquants ont utilisé une machine compromise appartenant à un employé ou à un sous-traitant de Snowflake comme point d'entrée initial. Dans d'autres cas, cependant, les identifiants utilisés par ces personnes ont été volés et vendus dès 2020 et étaient toujours valables en 2024.
Les conclusions de l'enquête de Snowflake
La enquête Une enquête menée par Snowflake et Mandiant a révélé qu'au moins 79.7 % des comptes utilisés par les attaquants avaient été compromis des années avant l'attaque actuelle et que leurs mots de passe n'avaient jamais été modifiés ou renouvelés. L'enquête a également confirmé que des centaines d'identifiants de clients Snowflake ont été exposés depuis 2020 et que les instances concernées n'avaient pas mis en place de politiques d'accès autorisant uniquement l'accès à partir d'emplacements de confiance.
L'enquête a également révélé que les attaquants avaient obtenu des identifiants et les avaient utilisés pour accéder aux comptes de démonstration d'un ancien employé de Snowflake. « Il semble qu'il s'agisse d'une campagne ciblée visant les utilisateurs disposant d'une authentification à facteur unique », a confirmé Brad Jones, RSSI de Snowflake. dans un communiqué émis par Snowflake. « Il ne contenait pas de données sensibles ».
Jones a également affirmé que « l'accès était possible parce que le compte de démonstration n'était pas derrière Okta ou MFA », et que « les comptes de démonstration ne sont pas connectés aux systèmes de production ou d'entreprise de Snowflake ». Il a également annoncé que Snowflake « élabore un plan pour obliger nos clients à mettre en œuvre des contrôles de sécurité avancés, tels que MFA ou des politiques réseau, en particulier pour les comptes clients Snowflake privilégiés.
AT&T : faites des économies jusqu'à ce que vous y parveniez
Environ 110 millions de clients AT&T Les numéros de téléphone et les enregistrements d'appels ont été obtenus via un compte AT&T Snowflake. Ces informations comprenaient le nombre d'appels et de SMS effectués par les clients, la destination et la durée de chaque appel. Cela signifie que les données comprenaient également des informations sur les clients non AT&T qui étaient à l'autre bout de l'appel ou du SMS. Les données n'ont pas été divulguées ni rendues publiques, et selon certains rapports c'est parce qu'AT&T aurait payé 370,000 XNUMX $ de rançon après avoir négocié avec l'attaquant.
Ce fut une année difficile pour AT&T. quatre mois avant La faille Snowflake a permis de divulguer en ligne une base de données de plus de 70 millions de clients d'AT&T, révélant des noms, des adresses, des numéros de téléphone, des numéros de sécurité sociale et des dates de naissance. Selon les rapports, la base de données a été volée en 2021 et conservée intacte par l'attaquant jusqu'en mars de cette année, date à laquelle elle a été rendue publique dans son intégralité.
Ticketmaster : Un autre flocon dans le blizzard
En mai, les données sur 560 millions d'utilisateurs de Ticketmaster ont été signalés comme ayant été volés. En juillet, l'entreprise a envoyé des e-mails à ses clients notifiant qu'un utilisateur non autorisé a obtenu des informations "à partir d'une base de données cloud isolée hébergées par un fournisseur de services de données tiers », et que les informations « peuvent avoir inclus votre nom, vos coordonnées de base et les informations de votre carte de paiement telles que les numéros de carte de crédit ou de débit cryptés et les dates d'expiration ». BBC signalé qu'elle avait demandé à Ticketmaster pourquoi elle avait mis autant de temps à informer ses clients, mais n'avait pas reçu de réponse.
Change Healthcare (UnitedHealth Group) : une leçon d'hygiène identitaire
En Février, une attaque de ransomware sur Change Healthcare Cela a entraîné le vol de 4 To de données sensibles concernant jusqu'à 1 Américain sur 3, ainsi que des pannes généralisées dans les hôpitaux, les pharmacies et les cabinets de soins de santé à travers les États-Unis.
Bien que UnitedHealth Group (UHG) ait payé ALPHV/Blackcat, le ransomware Le groupe qui a revendiqué la responsabilité de l'attaque a demandé une rançon de 22 millions de dollars pour garantir la suppression des données. Le groupe aurait transmis les données volées à un autre groupe, RansomHub, qui a exigé une autre rançon.
Dans le cadre de son témoignage devant la commission de l'énergie et du commerce de la Chambre des représentants, le PDG d'UHG, Andrew Witty, a confirmé que les attaquants avaient accédé au réseau via un serveur qui n'avait pas d'authentification multifacteur. Les attaquants ont soit acheté des identifiants sur le dark web, soit utilisé la force brute pour obtenir un accès initial. Dans tous les cas, l'authentification multifacteur les aurait arrêtés. Une fois qu'ils ont eu accès au réseau, ils se sont déplacés latéralement d'une machine à l'autre - et nous savons tous comment cela s'est terminé.
Meilleures pratiques d'atténuation
Les organisations peuvent prendre certaines précautions pour atténuer et contenir de telles violations, à savoir l'ITDR (ITDR) et ISPM (Identity Security Posture Management). Gady Svahjman, responsable de la chasse aux menaces mondiales chez Silverfort, offre quelques conseils d'experts :
Détection
- Les attaquants ont probablement utilisé les informations d'identification volées de différentes manières que l'utilisateur légitime réel ; par exemple, à des moments différents, avec des géolocalisations sources et des machines sources/cibles différentes.
- Si des détections et des attributs de sécurité pour les authentifications anormales avaient été mis en œuvre, les violations auraient pu être détectées et une alerte aurait pu être déclenchée.
- Les comptes qui n'ont pas été utilisés pendant une longue période mais dont les identifiants sont soudainement authentifiés, ou les comptes dont les mots de passe n'expirent pas devraient également déclencher une alerte. Des indicateurs de risque et des politiques d'accès appropriés déclencheraient une alerte dans de tels cas.
Prévention
- La détection seule ne suffit pas, Les organisations ne doivent pas se fier uniquement aux alertes. Examiner des milliers d'alertes chaque jour n'est pas tenable et la détection rétrospective n'est pas suffisante.
- Politiques d'accès aurait pu refuser l’accès sur la base d’une analyse comportementale et de modèles.
- L'absence de MFA a été un facteur crucial permettant aux attaquants d'accéder à ces instances Snowflake et Change Système de santé réseau.
- En exigeant plus d'un facteur d'authentification, des contrôles MFA forts auraient pu arrêter les attaquants. Leurs identifiants d'utilisateur légitimes n'étaient pas suffisants, car ils auraient dû gérer une couche de sécurité supplémentaire.
Réponse
- Élever des murs : pour contenir l'attaque et geler la situation une fois qu'elle est découverte, le premier principe de sécurité que vous devez mettre en œuvre est de créer des politiques pour refuser tout accès qui n'est pas nécessaire aux opérations commerciales critiques.
- Le confinement des comptes et des machines compromis peut impliquer soit de refuser complètement l'accès aux machines et aux comptes, soit seulement partiellement ; par exemple, en autorisant uniquement les sources et destinations spécifiées à accéder à l'infrastructure critique.
- En cas de doute quant à savoir si un compte d'utilisateur a été compromis ou si l'organisation doit autoriser cet utilisateur à continuer de travailler, la réinitialisation du mot de passe de cet utilisateur et l'application d'une politique pour autoriser les opérations avec ce compte à l'aide de MFA est une autre option au lieu de refuser l'accès.
Réflexions finales
Il est peut-être difficile de l'admettre, mais ces failles auraient pu être évitées, ou du moins les dommages auraient pu être réduits au minimum. Il suffisait de mettre à jour les mots de passe, d'activer l'authentification multifacteur et de définir des politiques d'accès. Cela peut paraître simple, mais ce n'est pas toujours aussi simple.
Par exemple, les organisations qui concluent des contrats avec des tiers et utilisent des comptes gérés par ces tiers ont une capacité très limitée de vérifier les autorisations des comptes ou même s'ils sont toujours actifs.
De la découverte à l'endiguement, sécurité d'identité La sécurité des données est un cycle. Il faut de la coordination et de l'unification, ainsi qu'un effort constant pour garder le contrôle de la situation. Ces failles n'ont pas seulement révélé les numéros de cartes de crédit, les informations médicales personnelles et les relevés d'appels de millions de clients : elles ont également révélé à quel point nous en savons peu sur la sécurité des identités et à quel point nous y sommes peu engagés, par rapport à son importance réelle.